Vipersoftx Info-Duruşan kötü amaçlı yazılımların en son varyantları, algılamadan kaçınmak için otomatik komut dosyaları içindeki PowerShell komutlarını yüklemek ve yürütmek için Ortak Dil Çalışma Zamanı'nı (CLR) kullanır.
CLR, .NET uygulamaları için yürütme motoru ve çalışma zamanı ortamı olarak hizmet veren Microsoft’un .NET Framework'ün önemli bir bileşenidir.
Vipersoftx, genellikle güvenlik çözümleri tarafından güvenilen Windows görevlerini otomatikleştirmek için bir komut dosyası dili olan Autoit içindeki kodu yüklemek için CLR kullanır.
Buna ek olarak, araştırmacılar, kötü amaçlı yazılım geliştiricisinin sofistike olmayı artırmak için son sürümlerde hücum senaryolarını değiştirdiğini buldular.
Vipersoftx en az 2020'den beri var ve şu anda Torrent sitelerine, bir tuzak PDF veya e -kitap dosyası, kısayol (.lnk) dosyası ve JPG görüntü dosyaları olarak gizlenmiş PowerShell ve Otomatik komut dosyaları ile kötü niyetli RAR arşivleri sunan e -kitaplar olarak dağıtılıyor.
Siber güvenlik şirketi Trellix'teki kötü amaçlı araştırmacılar, enfeksiyonun kurbanların .lnk dosyasını yürüttüğünde başladığını söylüyor. İşlem sırasında, komut isteminde otomatik olarak yürütülen boş boşluk komutlarında gizlenen PowerShell komut dosyasını yükler.
PS komut dosyası %appData %\ microsoft \ windows dizinine iki dosyaya (zz1cover2.jpg ve zz1cover3.jpg) geçer. Bunlardan biri Autoit için yürütülebilir ve Autoit3.exe olarak yeniden adlandırılır.
Kalıcılığı korumak için, aynı komut dosyası, kullanıcı giriş yaptıktan sonra bir her beş dakikada bir otomatik zamanlayıcı olarak her beş dakikada bir çalıştıracak şekilde yapılandırır.
Otomatik ortamdaki PowerShell komutlarını yüklemek ve yürütmek için CLR'yi kullanarak Vipersoftx, sistem üzerindeki meşru faaliyetlere karışmayı ve algılamadan kaçmayı amaçlar.
Bu mümkündür, çünkü AUTOIT .NET CLR'yi doğal olarak desteklememesine rağmen, kullanıcılar PowerShell komutlarını dolaylı olarak çağırmaya izin veren işlevleri tanımlayabilir.
Vipersoftx, görüntü tuzak dosyalarından alınan PowerShell komut dosyalarındaki komutları gizlemek için ağır Base64 gizleme ve AES şifrelemesini kullanır.
Kötü amaçlı yazılım ayrıca, komut dosyalarındaki güvenlik kontrollerini atlamak için antimal yazılım tarama arayüzünün (AMSI) işlevinin ("amsiscanBuffer") belleğini değiştirmek için bir işlev içerir.
Ağ iletişimi için Vipersoftx, ‘Security-Microsoft.com gibi aldatıcı ana bilgisayar adlarını kullanır. Radarın altında kalmak için sistem bilgileri Base64 formatında kodlanır ve veriler, içerik uzunluğu “0” olan bir posta isteği ile teslim edilir. Bunu yaparken, tehdit oyuncusu vücut içeriği eksikliği nedeniyle tekrar dikkat etmeyi önlemeye çalışır.
Vipersoftx'in amacı, uzlaşmış sistemlerden aşağıdaki verileri çalmaktır:
Trellix, Vipersoftx'in kaçınma taktiklerini geliştirdiğini ve daha büyük bir tehdit haline geldiğini söylüyor. Kötü amaçlı yazılım, PowerShell'i otomatik olarak yürütmek için entegre ederek, genellikle bağımsız PowerShell etkinliğini yakalayan güvenlik mekanizmalarından kaçarken kötü amaçlı işlevler çalıştırmayı başarır.
Araştırmacılar, kötü amaçlı yazılımları "tespit, önleme ve yanıt yeteneklerini kapsayan kapsamlı bir savunma stratejisi" ile engellenebilecek sofistike ve çevik bir modern tehdit olarak tanımlıyor.
Sahte Google Chrome hataları sizi kötü niyetli Powershell komut dosyaları çalıştırmaya kandırıyor
Infostealer kötü amaçlı yazılım günlükleri, çocuk istismarı web sitesi üyelerini tanımlamak için kullanılan
Yeni açılmayan Hemlock Tehdit Oyuncusu Sistem Sistemleri Kötü Yazılımlarla Sistemler
Ebury Botnet Kötü Yazılım 2009'dan beri 400.000 Linux sunucusuna enfekte oldu
Huione Garantisi, siber suç için 11 milyar dolarlık bir pazar olarak maruz kaldı
Kaynak: Bleeping Computer